LEGE Nr. 298
din 18 noiembrie 2008
privind retinerea datelor
generate sau prelucrate de furnizorii de servicii de comunicatii electronice
destinate publicului sau de retele publice de comunicatii, precum si pentru
modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal
si protectia vietii private in sectorul comunicatiilor electronice
ACT EMIS DE:
PARLAMENTUL ROMANIEI
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 780 din 21 noiembrie 2008
Parlamentul României adoptă
prezenta lege.
CAPITOLUL I
Dispoziţii generale
Art. 1. - (1) Prezenta lege stabileşte obligaţia
furnizorilor de servicii şi reţele publice de comunicaţii electronice de a
reţine anumite date generate sau prelucrate în cadrul activităţii lor de
furnizare a serviciilor de comunicaţii electronice, pentru punerea acestora la
dispoziţia autorităţilor competente în scopul utilizării în cadrul
activităţilor de cercetare, de descoperire şi de urmărire a infracţiunilor
grave.
(2) Prezenta lege se aplică datelor de trafic şi de
localizare a persoanelor fizice şi juridice, precum şi datelor conexe necesare pentru identificarea abonatului sau a utilizatorului
înregistrat.
(3) Prezenta lege nu se aplică în ceea ce priveşte
conţinutul comunicării sau informaţiile consultate în timpul utilizării unei
reţele de comunicaţii electronice.
(4) Punerea în aplicare a
prevederilor prezentei legi se face cu respectarea prevederilor Legii nr.
677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu
caracter personal şi libera circulaţie a acestor date, cu modificările şi
completările ulterioare, precum şi ale Legii nr. 506/2004 privind prelucrarea
datelor cu caracter personal şi protecţia vieţii private în sectorul
comunicaţiilor electronice, cu completările ulterioare.
Art. 2. - (1) In înţelesul prezentei legi, termenii şi
expresiile de mai jos au următoarele semnificaţii:
a) furnizor de servicii şi
reţele publice de comunicaţii electronice -
persoana care furnizează în scop comercial servicii şi/sau reţele de
comunicaţii electronice către utilizatori finali ori alţi furnizori de reţele
sau servicii de comunicaţii electronice pentru susţinerea traficului acestora;
b) date - informaţiile
privind traficul, localizarea şi alte date legate de acestea, necesare pentru
identificarea unui abonat sau a unui utilizator;
c) utilizator -
persoana fizică sau juridică ce foloseşte un serviciu de comunicaţii
electronice destinat publicului în scopuri personale sau profesionale, fără a
fi în mod necesar abonat al acelui serviciu;
d) abonat - persoana
fizică sau juridică ce a încheiat un contract cu un furnizor de servicii de
comunicaţii electronice destinate publicului, în vederea furnizării unor
asemenea servicii;
e) serviciu de telefonie - apelul (voce, mesagerie vocală, teleconferinţa şi transfer de
date), serviciile suplimentare (redirecţionarea convorbirii şi transferul
apelului) şi serviciile de mesagerie şi multimedia (servicii de mesagerie
scurtă, servicii media îmbunătăţite şi servicii multimedia);
f) infracţiune gravă - infracţiunea care face parte dintre infracţiunile enumerate la
art. 2 lit. b) din Legea nr. 39/2003 privind prevenirea şi combaterea
criminalităţii organizate săvârşite sau nu de un grup infracţional organizat,
dintre cele prevăzute în cap. IV din Legea nr. 535/2004 privind prevenirea şi combaterea
terorismului, precum şi dintre infracţiunile contra siguranţei statului
prevăzute în titlul I din
partea specială a Legii nr. 15/1968 - Codul penal al României, republicată, cu modificările şi
completările ulterioare;
g) identificatorul utilizatorului- codul unic de
identificare alocat unei persoane care se abonează sau
se înregistrează la un serviciu de acces la internet ori la un serviciu de
comunicaţii prin internet;
h) identificatorul celulei - codul de identificare a celulei în care se iniţiază sau se
finalizează un apel de telefonie mobilă;
i) apel nereuşit - comunicarea în cadrul căreia apelul telefonic a fost conectat,
dar nu a primit răspuns sau a făcut obiectul unei intervenţii din partea
administratorului reţelei;
j) apel neconectat -
apelul iniţiat de la un terminal telefonic sau echipament cu acces la un
serviciu de telefonie, dar care nu s-a finalizat tehnic, în sensul stabilirii
unei conexiuni între apelant şi apelat.
(2) In tot cuprinsul prezentei legi sunt, de asemenea,
aplicabile definiţiile prevăzute la art. 3 din Legea nr. 677/2001, cu
modificările şi completările ulterioare, şi la art. 2 din Legea nr. 506/2004,
cu completările ulterioare.
CAPITOLUL II
Reţinerea datelor
Art. 3. - (1) Furnizorii de reţele publice de
comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate
publicului au obligaţia de a asigura, pe cheltuială proprie, crearea şi
administrarea unei baze de date în format electronic, în vederea reţinerii
următoarelor categorii de date, în măsura în care sunt generate sau prelucrate
de aceştia:
a) date necesare pentru
urmărirea şi identificarea sursei unei comunicări;
b) date necesare pentru identificarea destinaţiei unei
comunicări;
c) date necesare pentru a determina data, ora şi durata
comunicării;
d) date necesare pentru identificarea tipului de
comunicare;
e) date necesare pentru identificarea echipamentului de
comunicaţie al utilizatorului sau a dispozitivelor ce servesc utilizatorului
drept echipament;
f) date necesare pentru identificarea locaţiei echipamentului
de comunicaţii mobile.
(2) Datele se reţin timp de 6
luni de la momentul efectuării comunicării.
(3) Cheltuielile legate de crearea şi administrarea
bazei de date sunt deductibile fiscal.
Art. 4. - Datele necesare pentru urmărirea şi
identificarea sursei unei comunicări cuprind:
a) în cazul reţelelor de
telefonie fixă şi mobilă: numărul de telefon apelant, precum şi numele şi
adresa abonatului sau ale utilizatorului înregistrat;
b) în cazul serviciilor de acces la internet, poştă
electronică şi telefonie prin internet: identificatorul/identificatorii
alocat/alocaţi utilizatorilor; identificatorul de utilizator şi numărul de
telefon alocate pentru efectuarea oricărei comunicări prin reţeaua publică de
telefonie; numele şi adresa abonatului sau ale utilizatorului înregistrat,
căruia i s-a alocat o adresă Internet Protocol (IP), un identificator de
utilizator sau un număr de telefon, la momentul comunicării.
Art. 5. - Datele necesare pentru identificarea
destinaţiei unei comunicări cuprind:
a) în cazul reţelelor de telefonie fixă şi mobilă:
numărul format/apelat/numerele formate/apelate şi, în cazurile care includ
servicii suplimentare precum redirecţionarea sau transferul apelului,
numărul/numerele către care este dirijat apelul; numele şi adresa/adresele
abonatului/abonaţilor ori ale utilizatorului/utilizatorilor
înregistrat/înregistraţi;
b) în cazul serviciilor de poştă electronică şi
telefonie prin internet: identificatorul utilizatorului sau numărul de telefon
al destinatarului/destinatarilor unui apel telefonic prin internet; numele şi
adresa/adresele abonatului/abonaţilor sau ale utilizatorului/utilizatorilor
înregistrat/înregistraţi şi identificatorul utilizatorului destinatar al
comunicării.
Art. 6. - Datele necesare pentru a determina data, ora şi
durata comunicării cuprind:
a) în cazul reţelelor de
telefonie fixă şi mobilă: data şi ora iniţierii şi încheierii unei comunicări;
b) în cazul serviciilor de acces la internet, poştă
electronică şi telefonie prin internet: data şi ora conectării la şi ale
deconectării de la serviciul de acces la internet, adresa IP alocată dinamic
sau static unei comunicări de furnizorul de servicii de acces la internet,
precum şi identificatorul abonatului sau al utilizatorului înregistrat; data şi
ora conectării la şi ale deconectării de la serviciul de poştă electronică sau
de telefonie prin internet.
Art. 7. - Datele necesare pentru identificarea tipului
de comunicare cuprind:
a) în cazul reţelelor de telefonie fixă şi mobilă:
informaţii privind serviciul de telefonie utilizat;
b) în cazul comunicărilor prin serviciul de poştă
electronică şi de telefonie prin internet: informaţii privind serviciul de
acces la internet utilizat.
Art. 8. - Datele necesare pentru identificarea
echipamentului de comunicaţie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament cuprind:
a) în cazul reţelelor de telefonie fixă: numărul de
telefon apelant şi numărul de telefon apelat;
b) în cazul reţelelor de telefonie mobilă: numărul de
telefon al apelantului şi numărul de telefon apelat; identitatea internaţională
de abonat mobil (IMSI) a apelantului; identitatea internaţională a
echipamentului mobil (IMEI) a apelantului; identitatea IMSI a apelatului;
identitatea IMEI a apelatului; în cazul serviciilor anonime preplătite: data şi
ora activării iniţiale a serviciului,
precum şi identificatorul celulei din care a fost activat serviciul;
c) în cazul serviciilor de acces la internet, poştă
electronică şi telefonie prin internet: numărul de telefon al apelantului în
cazul accesului prin dial-up; linia DSL sau alt punct terminal al celui care
iniţiază comunicarea.
Art. 9. - Datele necesare pentru identificarea locaţiei
echipamentului de comunicaţii mobile cuprind:
a) identificatorul celulei la începutul comunicării;
b) datele care permit stabilirea localizării geografice a celulelor, prin referire la identificatorul
acestora, pe durata în care datele comunicării sunt reţinute.
Art. 10. - (1) Furnizorii de reţele publice de
comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate
publicului, aflaţi sub jurisdicţie română, au obligaţia reţinerii datelor
referitoare la un apel nereuşit numai atunci când aceste date sunt generate sau
prelucrate şi stocate, în cazul serviciului de telefonie, ori înregistrate, în
cazul serviciului de acces la internet, în cadrul activităţii de furnizare a
serviciilor respective.
(2) Furnizorii nu au obligaţia reţinerii datelor
prevăzute la art. 3 alin. (1) în cazul apelurilor neconectate.
Art. 11. - (1) In aplicarea prevederilor prezentei legi
sunt interzise interceptarea şi reţinerea conţinutului
comunicării sau a informaţiilor consultate în timpul utilizării unei reţele de
comunicaţii electronice.
(2) Furnizorii de reţele publice de comunicaţii şi
furnizorii de servicii de comunicaţii electronice destinate publicului au
obligaţia de a reţine numai acele categorii de date enumerate la art. 3 alin.
(1), care sunt accesibile ca urmare a desfăşurării activităţilor proprii, în
condiţiile legii.
(3) La sfârşitul perioadei de reţinere, toate datele
reţinute în temeiul prezentei legi, cu excepţia datelor puse la dispoziţia
autorităţilor competente, potrivit legii, şi care au fost păstrate de către
acestea, trebuie să fie distruse prin proceduri automatizate, ireversibil.
Art. 12. -Activitatea de reţinere a datelor se
realizează cu respectarea următoarelor principii:
a) datele reţinute trebuie să fie de aceeaşi calitate
şi supuse aceluiaşi grad de securitate şi protecţie cu cele utilizate la
nivelul reţelelor furnizorilor de comunicaţii electronice;
b) datele reţinute trebuie supuse unor măsuri tehnice şi organizatorice corespunzătoare, în
vederea protejării datelor împotriva distrugerilor accidentale sau ilicite,
alterării ori pierderii accidentale, stocării, prelucrării, accesării sau
dezvăluirii neautorizate ori ilicite;
c) datele reţinute trebuie
supuse unor măsuri tehnice şi organizatorice corespunzătoare, în vederea
asigurării faptului că numai personalul autorizat în acest sens are acces la
aceste date.
Art. 13. - (1) In situaţia în care datele prevăzute la
art. 4-7 pot fi reţinute de mai mulţi furnizori de servicii şi reţele publice
de comunicaţii electronice, activitatea de reţinere a datelor se face doar la
unul dintre furnizori.
(2) Activitatea de reţinere a datelor prevăzute la art.
4-7 poate fi desfăşurată, acolo unde este tehnic posibil şi în urma unei
înţelegeri contractuale, de un terţ, în numele unui furnizor de servicii şi
reţele publice de comunicaţii electronice, cu respectarea prevederilor art. 19
şi 20 din Legea nr. 677/2001, cu modificările şi completările ulterioare, şi
ale Legii nr. 506/2004, cu completările ulterioare.
(3) Obligaţia de reţinere a datelor prevăzute la art.
4-7 se aplică furnizorilor de servicii şi reţele publice de comunicaţii electronice care alocă numerotaţie, în
cazul serviciilor de telefonie fixă şi mobilă, respectiv adrese de IP, în cazul
serviciilor de date.
Art. 14. - (1) Ministerul Internelor şi Reformei
Administrative, Ministerul Public, Serviciul Român de Informaţii şi Serviciul
de Informaţii Externe, denumite în continuare autorităţi competente, au obligaţia de a
colecta şi de a transmite semestrial Ministerului Comunicaţiilor şi Tehnologiei
Informaţiei următoarele date statistice, în vederea urmăririi şi controlului aplicării
prevederilor cuprinse în prezenta lege:
a) numărul cazurilor în care informaţiile au fost
furnizate autorităţilor competente, în conformitate cu prevederile prezentei
legi;
b) perioada de timp scursă între data la care datele
au fost reţinute şi data la care autoritatea competentă a solicitat transmiterea acestor date;
c) numărul de cazuri în care solicitările de date nu
au putut fi îndeplinite.
(2) Termenele până la care trebuie transmise datele
statistice se stabilesc prin normele metodologice de aplicare a prezentei legi.
(3) Ministerul Comunicaţiilor şi Tehnologiei
Informaţiei centralizează datele statistice primite de la autorităţile
competente şi transmite anual Comisiei Europene statisticile elaborate în baza
acestora. Statisticile nu vor conţine date cu caracter personal.
CAPITOLUL III
Procedura solicitării
datelor reţinute
Art. 15. - Furnizorii de reţele publice de comunicaţii
şi furnizorii de servicii de comunicaţii electronice destinate publicului au
obligaţia ca, la solicitarea autorităţilor competente, în baza autorizaţiei
emise potrivit dispoziţiilor art. 16, să transmisă acestora de îndată datele
reţinute potrivit prezentei legi, cu excepţia cazurilor de forţă majoră.
Art. 16. - (1) Solicitarea transmiterii de date
reţinute potrivit prezentei legi se realizează numai după ce a fost începută
urmărirea penală, cu autorizarea motivată a preşedintelui instanţei căreia i-ar
reveni competenţa să judece cauza în primă instanţă sau de la instanţa
corespunzătoare în grad acesteia, în a cărei circumscripţie se află sediul
parchetului din care face parte procurorul care efectuează sau supraveghează
urmărirea penală ori a judecătorului desemnat de acesta, la cererea
procurorului care efectuează sau supraveghează urmărirea penală, potrivit
legii, dacă sunt date ori indicii temeinice privind pregătirea sau săvârşirea
unei infracţiuni grave.
(2) In caz de urgenţă, când întârzierea obţinerii
autorizării prevăzute la alin. (1) ar aduce grave prejudicii activităţii de
urmărire penală ori îndeplinirii obligaţiilor asumate de România prin documente
juridice de cooperare internaţională sau ca stat membru al Uniunii Europene,
procurorul care efectuează sau supraveghează urmărirea penală sau căruia i-ar
reveni această competenţă poate să autorizeze, prin ordonanţă motivată,
solicitarea transmiterii de date reţinute, potrivit prezentei legi. In termen
de 48 de ore de la emiterea autorizării, procurorul prezintă instanţei de
judecată competente, potrivit alin. (1), motivele care au stat la baza emiterii
autorizării. Instanţa de judecată se pronunţă cu privire la legalitatea şi
temeinicia ordonanţei prin care s-a autorizat solicitarea transmiterii de date
reţinute, în cel mult 48 de ore.
(3) Autorizaţia de solicitare a datelor reţinute
trebuie să cuprindă:
a) denumirea instanţei/parchetului;
b) data, ora şi locul emiterii;
c) numele şi prenumele judecătorului/procurorului;
d) durata de valabilitate a autorizaţiei;
e) denumirea şi sediul social ale persoanei juridice
care urmează să pună la dispoziţie datele reţinute;
f) indicarea persoanei cu privire la care se va face verificarea datelor reţinute sau indicarea codului de
identificare a abonatului ori a utilizatorului înregistrat pentru serviciile de
internet sau a numărului de telefon al abonatului ori al utilizatorului
înregistrat pentru serviciile de telefonie fixă sau mobilă;
g) temeiurile concrete care determină autorizarea de
solicitare a datelor reţinute;
h) perioada de timp pentru care datele reţinute urmează
a fi furnizate;
i) semnătura judecătorului/procurorului.
(4) Lipsa oricăreia dintre menţiunile prevăzute la
alin. (3) se sancţionează cu nulitatea absolută a autorizaţiei.
(5) Durata de valabilitate a autorizaţiei nu poate
depăşi 15 zile.
(6) Datele reţinute care nu privesc fapta ce formează
obiectul cercetării se arhivează la sediul parchetului, în locuri speciale, în
plic sigilat, cu asigurarea confidenţialităţii, şi pot fi transmise
judecătorului sau completului învestit cu soluţionarea cauzei, la solicitarea
acestuia. La soluţionarea definitivă a cauzei, acestea vor fi şterse sau, după
caz, distruse de către procuror, încheindu-se în acest sens un proces-verbal.
(7) Dacă în cauză s-a dispus soluţia de netrimitere
în judecată, datele reţinute se arhivează la sediul parchetului, în locuri
speciale, în plic sigilat, cu asigurarea confidenţialităţii, şi se păstrează
până la împlinirea termenului de prescripţie a răspunderii penale pentru fapta
ce a format obiectul cauzei, iar când se distrug, se încheie un proces-verbal în
acest sens.
(8) Dacă în cauză instanţa a pronunţat o hotărâre de
condamnare, achitare sau încetare a procesului penal, rămasă definitivă, datele
reţinute se arhivează odată cu dosarul cauzei la sediul instanţei, în locuri
speciale, în plic sigilat, cu asigurarea confidenţialităţii.
CAPITOLUL IV
Autoritatea de supraveghere
Art. 17. -Autoritatea
competentă să monitorizeze aplicarea prevederilor prezentei legi este
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter
Personal, denumită în continuare A.N.S.P.D.C.R
CAPITOLUL V
Regimul sancţionator
Art. 18. - (1) Constituie
contravenţii următoarele fapte:
a) neîndeplinirea obligaţiilor prevăzute la art. 3
alin. (2);
b) neîndeplinirea obligaţiilor prevăzute la art. 11
alin. (2) şi (3);
c) neîndeplinirea obligaţiei prevăzute la art. 12.
(2) Contravenţiile prevăzute la alin. (1) se
sancţionează, prin derogare de la dispoziţiile Ordonanţei Guvernului nr. 2/2001
privind regimul juridic al contravenţiilor, aprobată cu modificări şi
completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare,
cu amendă de la 2.500 lei la 500.000 lei.
(3) Constatarea contravenţiilor prevăzute la alin. (1)
şi aplicarea sancţiunilor se efectuează de către personalul de control împuternicit în acest scop al A.N.S.RD.C.R, în conformitate
cu prevederile art. 35 din Legea nr. 677/2001, cu
modificările şi completările ulterioare.
Art. 19. - (1) Orice accesare intenţionată sau transfer
al datelor păstrate în conformitate cu prezenta lege, fără autorizare,
constituie infracţiune şi se pedepseşte cu închisoare de la un an la 5 ani.
(2) Impiedicarea cu intenţie a
punerii la dispoziţia autorităţilor competente a datelor reţinute ca urmare a
aplicării prezentei legi constituie infracţiune şi se pedepseşte cu închisoare
de la 6 luni la un an.
(3) Tentativa la infracţiunea prevăzută la alin. (1)
se pedepseşte.
CAPITOLUL VI
Dispoziţii finale
Art. 20. -In scopul prevenirii şi contracarării
ameninţărilor la adresa securităţii naţionale, organele de stat cu atribuţii în
acest domeniu pot avea acces, în condiţiile stabilite prin actele normative ce
reglementează activitatea de realizare a securităţii naţionale, la datele
reţinute de furnizorii de servicii şi reţele publice de comunicaţii
electronice.
Art. 21. - Pe data intrării în vigoare a prezentei
legi, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi
protecţia vieţii private în sectorul comunicaţiilor electronice, publicată în
Monitorul Oficial al României, Partea I, nr. 1.101 din 25 noiembrie 2004, cu completările ulterioare, se
modifică şi se completează după cum urmează:
1. La articolul 5,
alineatele (1) şi (6) se modifică şi vor avea următorul cuprins:
„Art. 5. - (1) Datele de trafic referitoare la abonaţi
şi utilizatori înregistraţi, prelucrate şi reţinute de furnizorul unei reţele
publice de comunicaţii electronice sau de furnizorul
unui serviciu de comunicaţii electronice destinat
publicului, trebuie să fie şterse sau transformate în date anonime atunci când
nu mai sunt necesare la transmiterea unei comunicări, cu excepţia situaţiilor
prevăzute la alin. (2), (3), (5) şi (51).
........................................................................................................................................................................ .........................................................
(6) Prevederile alin. (1)-(3) şi (5) nu aduc atingere
posibilităţii autorităţilor competente de a avea acces la datele de trafic, în
condiţiile legii."
2. La articolul 8, după
alineatul (4) se introduce un nou alineat, alineatul (5), cu următorul cuprins:
„(5) Dispoziţiile prezentului articol nu aduc atingere
posibilităţii autorităţilor competente de a avea acces la datele păstrate de
furnizorii de reţele publice de comunicaţii şi de furnizorii de servicii de
comunicaţii electronice destinate publicului, în condiţiile legii."
Art. 22. -In termen de 30 de zile de la data intrării
în vigoare a prezentei legi, Ministerul Comunicaţiilor şi Tehnologiei
Informaţiei va elabora normele metodologice de aplicare a acesteia, pe care le
va supune spre aprobare Guvernului.
Art. 23. - (1) Prezenta lege intră în vigoare la 60 de
zile de la publicarea în Monitorul Oficial al României,
Partea I.
(2) Dispoziţiile referitoare la reţinerea datelor de
trafic şi localizare corespunzătoare serviciilor de acces la internet, poştă
electronică şi telefonie prin internet se vor aplica începând cu data de 15
martie 2009.
Prezenta lege transpune
Directiva 2006/24/CE privind reţinerea datelor generate sau prelucrate de către
furnizorii de reţele şi servicii de comunicaţii electronice destinate
publicului şi de modificare a Directivei 2002/58/CE, publicată în Jurnalul
Oficial al Uniunii Europene (JOUE) nr. L105 din 13
aprilie 2006.
Această lege a fost adoptată de Parlamentul
României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (1) din
Constituţia României, republicată.
PREŞEDINTELE CAMEREI DEPUTAŢILOR
BOGDAN OLTEANU
PREŞEDINTELE SENATULUI
ILIE SÂRBU